Jump to content
Sign in to follow this  
freddymc

tacacs+ an Cisco 2950 konfigurieren

Recommended Posts

Hallo Leute!

 

ich will die Authentication des Switches zentral über einen Tacacs-Server laufen lassen.

Leider funktioniert die Anmeldung am Switch über den Tacacs nur, wenn der User mit Passwort in der /etc/tac-plus/tac-plus.conf festgelegt wird. Will ich jedoch per MySQL oder /etc/passwd authentifizieren, scheitert der Anmeldeversuch.

 

Im Beispiel unten ist der Anmeldeversuch mit 'fred' erfolgreich.

 

In der MySQL Datenbank steht ein User 'test' mit Passwort ENCRYPT('test') drin. Als Datenbank-Skelett wurde die tac_plus.sql verwendet die das Debian-Paket mitbringt (liegt unter /usr/share/doc/tac-plus). Die Encrypt-Verschlüsselung wird von http://www.gazi.edu.tr/tacacs/docs/tacacs_db.txt gefordert.

Rechte in DB sind gegeben, DB, Tabelle und Felder existieren wie angeben. Der Wert im Feld exp_time ist nicht abgelaufen, das lck-Flag ist auf "F" gesetzt.

Anmeldung scheitert

 

In /etc/passwd sind ebenfalls User angelegt, Anmeldung scheitert (natürlich getestet wenn "default authentication = file /etc/passwd" aktiviert).

 

Meine Configs:

 

tacacs+

# /etc/tac-plus/tacacs.conf
### TACACS+ Config

# Auth-Key
key = some_key

#default authentication = file /etc/passwd
default authentication = db mysql://user:password@localhost/tacacs/auth?usern&passwd

accounting file = /var/log/tac-plus/account.log

###### USER ######
user = DEFAULT {
default service = permit
}

#user = DEFAULT {
#	service = ppp
#	protocol = ip {
#	}
#}


# Enable-User
#user = $enable$ {
#	login = cleartext test
#}

user = fred {
default service = permit
login = cleartext fred_pw
}

 

Cisco

switch#sh ru
Building configuration...

Current configuration : 3337 bytes
!
! Last configuration change at 10:03:57 UTC Thu Mar 6 2008
!
version 12.1
no service pad
service timestamps debug uptime
service timestamps log uptime
service password-encryption
!
hostname MySwitch
!
aaa new-model
aaa group server tacacs+ TACSERV
server 192.168.1.5
!
aaa authentication login default group TACSERV local line
enable secret secret_enable_pw
!
username rescue secret secret_rescue_pw
ip subnet-zero
!
spanning-tree extend system-id
!
!
interface FastEthernet0/1
switchport access vlan 180
switchport mode trunk
switchport nonegotiate
no ip address
!

[HIER INTERFACE-ANWEISUNGEN interface FastEthernet0/2 bis 0/24 siehe config von 0/1]

interface GigabitEthernet0/1
description Uplink auf server soundso
switchport mode trunk
switchport nonegotiate
no ip address
!
interface GigabitEthernet0/2
switchport mode trunk
switchport nonegotiate
no ip address
!
interface Vlan1
no ip address
no ip route-cache
shutdown
!
interface Vlan100
ip address 192.168.1.90 255.255.255.0
no ip route-cache
!
ip default-gateway 192.168.1.1
ip http server
!
tacacs-server host 192.168.1.5 key some_key
!
line con 0
exec-timeout 0 0
line vty 5 15
!
ntp server 192.168.1.60
end

 

Ich weiß nicht weiter... :confused:

 

Wäre nett wenn jemand helfen könnte :-)

 

Grüße,

Fred

Share this post


Link to post
Share on other sites
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...